最新病毒库日期:
  • 一周安全播报(11.28-12.4)
2016-12-05 15:18 来源:未知
【文章摘要】上周互联网安全威胁程度为中度。
(一) 总体情况分析
上周互联网安全威胁程度为中度。
(二) 计算机病毒情况
1、 上周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
上周计算机病毒威胁程度为中度。
2、 上周截获病毒、感染机器数量?与前一周比变化情况?
上周流行病毒种类跟之前一周相比(10276→9587)下降了7% ,而感染的计算机台数(184521→159209)下降了15% 。
3、 上周危害较大的计算机病毒名称、类型、传播方式、主要危害等情况?
  排名 英文名称 中文名称 变化趋势 所占百分比 感染计算机数量
  1 Exploit.BypassUAC.bp 暂无 ↑1  2.89% 4522
  2 Exploit.BypassUAC.bn 暂无 ↓1  2.80% 4380
  3 Downloader.Sogou.b 暂无 ↑3  2.08% 3250
  4 Trojan.Generic.amjqq 暂无 →0  2.08% 3250
  5 TrojanDropper.Agent.cfqt 暂无 →0  1.99% 3109
  6 Trojan.Generic.aikna 暂无 ↓3  1.90% 2967
  7 Exploit.Fuaca.r 暂无  1.54% 2402
  8 AdWare.Amonetize.afav 暂无 →0  1.45% 2261
  9 Trojan.Banker.Metel.aew 暂无 ↑1  1.17% 1837
  10 TrojanSpy.AndroidOS.bbkg 暂无  0.90% 1413
  合计         29391
4、本周计算机病毒威胁程度为(轻度、中度、严重),判断依据?
本周的计算机病毒危险预计为中度。
5、本周需重点关注的病毒及防范建议?
本周需要关注的病毒行为分析: 
病毒名称 Trojan.Generic.biftk
病毒类型: 木马。
MD5 0AA55D6AAD496812827BCCBB58E38F17
文件长度:  字节
传播途径:  可移动磁盘传播
影响系统: Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 8, Windows10等
病毒介绍:
该病毒启动后遍历进程,在遍历到第四个进程的时候对该进程ntdll里面的函数进行Hook,使用户不能正常的打开进程和文件,在ntdll中启动一条线程用于网络操作,之后遍历到的进程只hook,不开启线程。拷贝自身到%System%目录下,更名为dir.exe,添加开机启动,删除指定键值使无法查看后缀名。遍历移动磁盘把磁盘根目录下的文件,把遍历到文件夹属性设置为系统和隐藏属性,再把自身复制同目录下,更名为文件夹的名字用以迷惑用户。
文件系统变化:
复制自身:
1. 把自身复制到%System%目录下更名为dir.exe
2. 把磁盘根目录文件夹属性设置为隐藏和系统
3. 复制到磁盘根目录和文件夹同名
注册表变化:
创建开机启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hacker--JACK
键值:C:\WINDOWS\system32\dir.exe
创建自身标识:
HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\Text
键值:我是病?毒,咬我啊!
设置后缀名不显示:
HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
操作:删除键和键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ HideFileExt
键值:0
关闭查看文件隐藏:
HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
操作:删除键和键值
网络症状:
连接148.81.111.121:65520 并发送数据
主要行为:
遍历进程:
 
打开物理内存映射:

 
Ntdll 函数hook:
 
 
 
 

创建远程线程:
再遍历到的第四个进程中开启一条线程,回调函数是0x7FF81FF7  参数是4(立即启动)
线程内再次启动一条线程,一条用于网络操作,一条用于监控只要有进程创建就hook
 

 


启动和自身同名的文件夹:
获取自身路径,去掉后缀名拼接后打开被自身隐藏的文件夹。用于迷惑用户。
 
拷贝自身到系统目录下:
 
创建开机启动:
 
创建自身标识:
 
设置后缀名不显示:
 
关闭查看文件隐藏:
 
 
设置自身隐藏启动:
 
查找移动磁盘:
 
遍历磁盘,隐藏文件夹,复制自身更名
 
 
手工清理方法:
1. 结束在系统进程中开启的线程 回掉函数地址偏移是0x19C2、0x1FF7
2. 结束病毒文件进程
3. 恢复进程钩子(使用PCHunter 扫描或恢复全部进程钩子)
Hook 函数(ZwCreateFile、ZwOpenFile、ZwCreateProcess、ZwCreateProcessEx、ZwQueryInformationProcess)
4. 删除病毒文件
5. 删除启动项
6. 恢复被删除的项(依照未被感染机器恢复)
7. 开启文件夹选项的“隐藏受保护的操作系统文件”即可
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。